升級後無法使用 ipsec 連接到 VPN

我正在使用 Debian Stretch，這是目前的測試版本。前段時間我使用 IPsec 建立了一個 VPN 連接，它工作正常。它突然停了下來。與此同時，一些軟體包可能已升級（openssl或strongswan其他），但我不確定如何讓它再次工作。

錯誤資訊是：

freyja@araguaney:~$ sudo ipsec up flow
initiating Main Mode IKE_SA flow[1] to XXX.XXX.XXX.XXX
generating ID_PROT request 0 [ SA V V V V ]
sending packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (216 bytes)
received packet: from XXX.XXX.XXX.XXX[500] to XXX.XXX.XXX.XXX[500] (40 bytes)
parsed INFORMATIONAL_V1 request 1195290638 [ N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed

看起來我的客戶無法使用建議的算法（因此NO_PROPOSAL_CHOSEN）。我向我們的管理員詢問伺服器日誌中出現的錯誤，它說：

IKE: Main Mode Failed to match proposal: Transform: AES-128, SHA1, Group
2 (1024 bit) Reason: unsupported hash algorithm -1

他還列出了伺服器提供的算法。我包括ike參數來強制其中一種可能的組合：

/etc/ipsec.conf:

conn flow
           ...
           leftfirewall=yes
           ike=aes128-sha1-modp1024
           ...

當我使用它時，連接日誌更長，但也以失敗結束：。

...
reached self-signed root ca with a path length of 0
authentication of 'XXX.XXX.XXX.XXX' with RSA_EMSA_PKCS1_NULL successful
IKE_SA flow[1] established between XXX.XXX.XXX.XXX[O=csc..puejse, OU=users, CN=freyja]...XXX.XXX.XXX.XXX[XXX.XXX.XXX.XXX]
scheduling reauthentication in 3292s
maximum IKE_SA lifetime 3472s
generating TRANSACTION request 3626856411 [ HASH CPRQ(ADDR DNS) ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (76 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (92 bytes)
parsed TRANSACTION response 3626856411 [ HASH CPRP(ADDR DNS DNS) ]
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing DNS server XXX.XXX.XXX.XXX to /etc/resolv.conf
installing new virtual IP XXX.XXX.XXX.XXX
generating QUICK_MODE request 2757640703 [ HASH SA No ID ID ]
sending packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (204 bytes)
received packet: from XXX.XXX.XXX.XXX[4500] to XXX.XXX.XXX.XXX[4500] (252 bytes)
parsed INFORMATIONAL_V1 request 2437352460 [ HASH N(NO_PROP) ]
received NO_PROPOSAL_CHOSEN error notify
establishing connection 'flow' failed

同樣，還有一些關於散列函式的資訊。我檢查ipsec listalgs了是否支持伺服器提出的雜湊函式。所以我不知道如何進行。

我嘗試降級 openssl，我刪除了目前軟體包（1.0.2h）並安裝了 Ubuntu 一個（1.0.2.d——該連接適用於我的同事在他的 Ubuntu 上使用此軟體包）。它沒有幫助。

我認為我的系統 SSL 功能有問題，因為我也無法與曾經工作的郵件伺服器進行協商。但我不知道如何調試並恢復這些功能。（這些都是我的猜測，因為我不是高級使用者）。請幫忙。

strongSwan 使用的 IKE 和 ESP 的預設建議已在 5.4.0 中更改。

對於 IKEv2，IKE 和 ESP 提議基本相同，只是算法的順序發生了變化。但是，對於 IKEv1，僅發送預設提議的每種變換類型的第一個算法，這意味著不再提議 SHA-1。

因此，就像您使用ike設置更改 IKE 提議一樣，您必須通過指定esp來使用自定義 ESP 提議：

esp=aes128-sha1

引用自：https://unix.stackexchange.com/questions/282709